Monografias.com > Computación > General
Descargar Imprimir Comentar Ver trabajos relacionados

Aspectos para Auditorías de Sistemas de Información y Tecnologías Informáticas



Partes: 1, 2

    1. Situación actual el
      cliente
    2. Definición de
      Auditoría
    3. Consultoría en
      Normas, Estándares y Seguridad
      Informática
    4. Recomendaciones
      de Mayor Prioridad
    5. Conclusiones
    6. Estándares
      de la Informática
    7. Definición
      de seguridad informática
    8. Política
      de seguridad
    9. Análisis
      y gestión de riesgos
    10. Vulnerabilidad,
      amenazas y contramedidas
    11. Tipos
      de vulnerabilidad
    12. Tipos
      de amenazas
    13. Tipos
      de medidas de seguridad o contramedidas
    14. Planes
      de contingencia

    15. Principios fundamentales de la seguridad
      informática
    16. Diagramas
      de Infra estructura informática
      Óptima

    El presente documento es una guía práctica
    para las personas que desean conocer la situación de una
    organización en relación a su
    seguridad
    informática.

    Enumera los puntos a Auditar en el área IT. En
    base a los resultados obtenidos de la Auditoría, se comparan con
    estándares de la industria
    informática y mejores prácticas
    reconocidas.

    El presente documento es un ensayo de
    estándares de seguridad IT, tomando como base la tecnología más
    comercial del mercado.

    Además genera los cimientos para que se realice
    una Consultorìa de seguridad que pueda llevar a la
    organización a una certificación de seguridad
    informática.

    Este trabajo lo
    realicé con el objetivo de
    que personas e instituciones
    que busquen una guía de cómo mejorar su seguridad
    IT, tengan un punto de referencia.

    Cristian E. R. Bailey E.

    Consultor IT.

    INTRODUCCIÓN

    Las sociedades
    avanzadas de fines del siglo XX son denominadas frecuentemente
    sociedades de la información, pues el volumen de
    datos que es
    procesado, almacenado y transmitido es inconmensurablemente mayor
    que es cualquier época anterior. Actualmente en el siglo
    XXI la información es poder, por
    ello las organizaciones la
    valoran mucho.

    Además, no sólo el volumen, sino la
    importancia de esta información para el desarrollo
    económico y social, no tienen ningún
    antecedente con la que tuvo en el pasado. De hecho, en la
    actualidad, las organizaciones consideran que la
    información es un bien más de sus activos y en
    muchos casos, prioritario sobre los restantes de la
    organización.

    Pero gran parte de esos datos que nosotros, o las
    entidades de nuestra sociedad,
    manejamos, han sido tratados, sea
    durante su proceso, o
    almacenamiento, o
    transmisión, mediante las llamadas tecnologías de
    la información, entre las que ocupa un lugar focal la
    informática.

    Consiguientemente, la seguridad de las
    tecnologías de información, y por ende las
    informática, se convierte en un tema de crucial
    importancia para el continuo y espectacular progreso de nuestra
    sociedad, e incluso para su propia supervivencia.

    Por otro lado, la evolución en los últimos años
    de las redes
    informáticas y fundamentalmente de Internet, ha sido el factor
    fundamental que ha hecho que la Seguridad Informática y
    sus estándares cobrasen una importancia vital en el uso de
    sistemas informáticos conectados.

    Desde el momento en que nuestra computadora se
    conecta a Internet, se abren ante nosotros toda una nueva serie
    de posibilidades (Derechos y Obligaciones),
    sin embargo éstas traen consigo toda una serie de nuevos y
    en ocasiones complejos tipos de ataque. Más aun, mientras
    en un ordenador aislado el posible origen de los ataques o
    amenazas es bastante restringido, al conectarnos a Internet,
    cualquier usuario de cualquier parte del mundo puede considerar
    nuestro sistema un
    objetivo apetecible (Vulnerabilidades).

    Existe un acuerdo y conciencia
    general sobre la importancia de la Seguridad de los
    Sistemas de
    Información
    (denominado SSI). La SSI está relacionada con la
    disponibilidad, confidencialidad e integridad de la
    información tratada por las computadoras y
    las redes de comunicación. Se usan comúnmente
    otros términos que en esencia tienen el mismo significado,
    tales como seguridad de la información, seguridad de las
    computadoras, seguridad de datos o protección de la
    información, pero en aras de la consistencia, usaremos el
    término Seguridad de los Sistemas de
    Información en las páginas
    siguientes.

    Los objetivos
    fundamentales del presente tema son los siguientes:

    • Introducir los procedimientos
      adecuados para la revisión y auditoría del
      área informática en Empresas u
      Organizaciones.
    • Introducir el concepto de
      Sistema de
      Información, sus principales componentes y tipos de
      información manejados.
    • Definir los conceptos básicos involucrados en
      la seguridad informática como son la confidencialidad,
      integridad y disponibilidad.
    • Definir cuales son las principales amenazas y
      vulnerabilidades de un sistema informático, así
      como los distintos tipos de medidas que podemos utilizar para
      prevenirlas.
    • Definir que se entiende por política de
      seguridad, cómo se fija y cuales son sus principales
      contenidos.
    • Introducir algunos principios
      básicos que subyacen en la aplicación de
      cualquier política de seguridad
      informática.
    • Realizar una Consultorìa de Seguridad para
      una Empresa u
      Organización que esta interesada en alcanzar los
      estándares de Seguridad, u obtener una
      certificación de seguridad.

    En este documento se recomiendan seguir los
    estándares de la informática que se mencionan a
    continuación:

    • INFORMACIÓN Y SISTEMA
      INFORMÁTICO
    • ASPECTOS CLAVE EN LA SSI
    • DEFINICIÓN DE SEGURIDAD
      INFORMÁTICA
      • Confidencialidad
      • Integridad
      • Disponibilidad
      • Autenticidad
      • Imposibilidad de rechazo
      • Consistencia
      • Aislamiento
      • Auditoría
    • POLÍTICA DE SEGURIDAD
    • ANÁLISIS Y GESTIÓN DE
      RIESGOS
    • VULNERABILIDAD, AMENAZAS Y CONTRAMEDIDAS
      • Vulnerabilidad
      • Amenaza
      • Contramedida
    • TIPOS DE VULNERABILIDAD
      • Vulnerabilidad física
      • Vulnerabilidad natural
      • Vulnerabilidad del hardware
        y del software
      • Vulnerabilidad de los medios
        o dispositivos
      • Vulnerabilidad por emanación
      • Vulnerabilidad de las
        comunicaciones
      • Vulnerabilidad humana
    • TIPOS DE AMENAZAS
      • Intercepción
      • Modificación
      • Interrupción
      • Generación
      • Amenazas naturales o físicas
      • Amenazas involuntarias
      • Amenazas intencionadas
    • TIPOS DE MEDIDAS DE SEGURIDAD O
      CONTRAMEDIDAS
      • Medidas físicas
      • Medidas lógicas
      • Medidas administrativas
      • Medidas legales
    • PLANES DE CONTINGENCIA
    • PRINCIPIOS FUNDAMENTALES DE LA SEGURIDAD
      INFORMÁTICA
      • Principio de menor privilegio
      • La seguridad no se obtiene a través de
        la oscuridad
      • Principio del eslabón más
        débil
      • Defensa en profundidad
      • Punto de control centralizado
    • SEGURIDAD EN CASO DE FALLO
      • Participación universal
      • Simplicidad

    Para mayor información de cada uno de los temas
    antes mencionados, pueden consultar la sección de este
    documento denominada Estándares de la
    Informática.

    SITUACION ACTUAL EL
    CLIENTE:

    En la actualidad con los procesos de
    Globalización que están aconteciendo
    en el mundo las empresas deben adoptar estándares de
    calidad y
    seguridad mayores, para poder ser más competitivos, ya que
    los mercados a los
    que deben de incursionar así lo requieren.

    Adicionalmente las empresas u organizaciones ven al
    área de informática como un mal necesario dentro de
    la organización, ya que generalmente solo representa
    gastos y no es
    palpable el retorno de inversión en informática. Esto
    sucede generalmente porque en el crecimiento de la
    organización no se tomo en cuenta al departamento de IT
    como parte importante de la planeación
    estratégica, lo cual indica que no asigna un papel
    importante en el rol de la empresa. Esto
    lleva a que los departamentos de informática son remitidos
    a un segundo plano en la empresa u
    organización, lo cual limita su crecimiento y recursos.

    Esta visión de IT es Errónea debido a que
    es la medula espinal del flujo de información que mantiene
    a las empresas u organizaciones con información fresca y
    oportuna es el departamento de informática, es simple de
    demostrar, cuando una empresa se queda sin correo
    electrónico (algo muy básico y cotidiano en la
    actualidad) los gerentes o directivos dan un grito que se escucha
    hasta en el cielo, pero aun así no captan la importancia
    de área de IT (en pocas ocasiones toman la conciencia de
    la importancia de IT).

    El ingeniero(s) (generalmente es un equipo de técnicos con un
    líder a
    cargo de la actividad) que tiene la responsabilidad de ejecutar la auditoría de
    sistemas, primero que nada debe concertar reuniones de
    trabajo con los responsables de las áreas administrativas,
    recursos
    humanos, seguridad
    industrial, con el objetivo de conocer cual es la
    visión que tiene la empresa u organización del
    valor de la
    información y rol que tiene el departamento de IT de forma
    global.

    Al establecer estos puntos de vista, y tomar nota de los
    mismos, podrá empezar su labor de auditoría en el
    área, ya que generalmente las fortalezas o debilidades de
    un departamento de informática inician por el concepto
    global (visión, misión,
    metas, objetivos empresariales u organizacionales)
    que tiene una empresa del área a auditar.

    Definición de
    Auditoría
    :

    Metodología basada en Riesgo vs.
    Control vs. Coste. El auditor revisa o audita los controles con
    la ayuda de una lista de control (checklist) que consta de una
    serie de preguntas o cuestiones a verificar.

    La evaluación
    consiste en identificar la existencia de unos controles
    establecidos.

    Las listas de control suelen utilizarse por los
    auditores, generalmente por auditores con poca experiencia, como
    una guía de referencia, para asegurar que se han revisado
    todos los controles.

    La naturaleza
    especializada de la auditoría de los sistemas de
    información y las habilidades necesarias para llevar a
    cabo este tipo de auditorías, requieren el desarrollo y
    la promulgación de Normas Generales
    para la Auditoría de los Sistemas de
    Información.

    La auditoría de los sistemas de
    información se define como cualquier auditoría que
    abarca la revisión y evaluación de todos los
    aspectos (o de cualquier porción de ellos) de los sistemas
    automáticos de procesamiento de la información,
    incluidos los procedimientos no automáticos relacionados
    con ellos y las interfaces correspondientes.

    Para hacer una adecuada planeación de la
    auditoría en informática, hay que seguir una serie
    de pasos previos que permitirán dimensionar el
    tamaño y características de área dentro del
    organismo a auditar, sus sistemas, organización y
    equipo.

    A continuación, la descripción de los dos principales
    objetivos de una auditoría de sistemas, que son, las
    evaluaciones de los procesos de datos y de los equipos de
    cómputo, con controles, tipos y seguridad.

    En el caso de la auditoría en informática,
    la planeación es fundamental, pues habrá que
    hacerla desde el punto de vista de los dos objetivos:

    • Evaluación de los sistemas y
      procedimientos.
    • Evaluación de los equipos de
      cómputo.

    Para hacer una planeación eficaz, lo primero que
    se requiere es obtener información general sobre la
    organización y sobre la función de
    informática a evaluar. Para ello es preciso hacer una
    investigación preliminar y algunas entrevistas
    previas, con base en esto planear el programa de
    trabajo, el cual deberá incluir tiempo,
    costo, personal
    necesario y documentos
    auxiliares a solicitar o formular durante el desarrollo de la
    misma.

    La auditoría de sistemas debe abarcar tres
    grandes áreas:

    Este tipo de auditorías generalmente son
    realizadas por un equipo de expertos en diferentes ramas de la
    informática, con el objetivo de poder revisar a fondo el
    área asignada y utilizar herramientas
    de software que
    permitan obtener "Logs o
    Bitácoras
    " de que esta aconteciendo en
    cada área, con lo cual podrán analizar y dictaminar
    el estatus de un departamento de informática.

    Auditoría de Infra Estructura
    Física:

    Esta etapa de la auditoría es muy importante de
    revisar, ya que en muchas ocasiones las empresas u organizaciones
    poseen pocos recursos, y esto puede crear vulnerabilidades,
    también existen situaciones opuestas en las cuales tienen
    muchos recursos y están siendo sub utilizados.

    Hay que revisar el Hardware
    de los servidores que
    utilizan, y el propósito de uso del servidor
    en sí, con el objetivo de comprender si los recursos
    que posee cada servidor son los
    óptimos para prestar el tipo de servicio o
    función para lo que ha sido designado. Hay que tomar en
    cuenta que cada sistema operativo
    de servidor consume una "X" cantidad de recursos de Memoria
    RAM
    y procesador, y
    según el uso destinado deberán ser las
    características del equipo analizado. Es conveniente que
    se posean estudios de Benchmark
    del caso, para poder tener parámetros de
    comparaciones y recomendaciones.

    Generalmente se pueden encontrar redes de tipo

    LAN,
    WAN, MAN
    dentro de una institucion, por lo cual hay que revisar el
    equipo y cableado que lo conforma.

    Referente al cableado
    estructurado (verificar que realmente cumpla con
    este estándar) chequeando desde la categoría de
    cable utilizado para cada punto de red, el tipo de
    configuración que se utilizada para cada cable
    (568 A o
    B
    ) y que dicha configuración sea la misma
    en todos y cada uno de los puntos de red. Verificar con equipos
    especiales la transmisión de datos de cada punto,
    certificando que se esta cumpliendo con el estándar
    mínimo de transmisión de paquetes por punto.
    Establecer si se posee un plano del diseño
    del cableado
    estructurado en el cual se tiene la ubicación e
    identificación de cada punto de red tanto en el edificio
    como en el Patch panel respectivo. Idealmente el plano debe tener
    identificado también el departamento, nivel, puesto que
    tiene asignado cada punto de red, con lo cual se
    simplificará la ubicación física del mismo.
    Verificar que la distancia máxima de cada punto de red sea
    de 90 metros del equipo activo y que el Patch
    Cord
    de la estación de trabajo no sea
    mayor a 10 metros, para cumplir con el estándar de
    distancias máximas de 100 metros.

    Seguidamente hay que revisar el diseño de la red
    a nivel físico, esto significa revisar que tipo de
    equipo
    activo
    y equipo
    pasivo
    que poseen. En relación al equipo
    pasivo se debe verificar que los patch
    panel
    sean los adecuados para la cantidad de
    puntos de red existentes, de preferencia si el patch panel esta
    usando una configuración de espejo previo a conectarse al
    equipo activo del caso.

    El equipo activo de una red LAN puede
    estar conformado por una "X" cantidad de concentradores entre los
    que se pueden encontrar
    HUB o
    SWITCH, de existir aun Hub en
    una red es
    recomendable reemplazarlos por Switch para que
    se pueda mantener el
    Qos
    de la red LAN. Ya que el
    HUB no realiza Qos.

    Hay que revisar que el Rack o
    Gabinete sean aptos para el equipo pasivo y activo que soportan,
    así como para el caso de que posean servidores de Rack. Se
    debe verificar que posean tomas de corriente apta para la
    cantidad de equipos que tiene cada estructura.

    En los casos que la empresa u organización
    están alojadas en un edificio de más de 3 niveles
    se recomienda que se posea un BACK
    BONE
    para comunicar los diferentes niveles del
    edificio o edificios que conforman la red.

    Así mismo colocar un equipo activo en cada nivel
    del edificio para que brinde servicio a los diferentes puntos de
    red, este equipo activo deberá contar con su respectivo
    patch panel y estar alojados en un gabinete con llave para
    protección del equipo activo como pasivo.

    El equipo activo debe contar con un mínimo de 2
    puertos de Fibra
    Óptica
    o GBIC
    los cuales se deben conectar a un Router
    que atenderá a la red LAN y con esto se lograra
    segmentar y direccionar correctamente el trafico de paquetes de
    la red. Dicho Router debe
    tener la capacidad de manejar la misma tecnología con que
    recibirá la señal de los switch de cada
    nivel.

    Hay que tomar en cuenta que el área de servidores
    debe poseer su propio Switch para servicio exclusivo de los
    mismos, con lo cual se optimiza la
    comunicación entre dicho FARM (granja de servidores) y esto permite que
    el tiempo de respuesta en la comunicación entre servidores
    sea óptimo. El Switch que se debe utilizar en este
    segmento de red deberá ser de fibra
    óptica o GBIC para que la velocidad de
    comunicación y transferencia de paquetes sea excelente. Se
    debe tomar en cuenta que los modelos de
    servidores existentes soporten este tipo de tecnología de
    redes.

    En los casos que una empresa u organización posea
    red WAN o MAN se debe establecer la cantidad de usuarios que hay
    en cada oficina remota,
    con lo cual se deben de revisar las configuraciones de cableado
    estructurado de cada oficina, ya que deberán de cumplir
    con lis estándares que se tienen en las oficinas
    centrales. Al existir este tipo de redes se entiende que existe
    un Router que tiene como objetivo brindarles servicio y optimizar
    el tráfico de estas redes. Esto significa que dicho
    tráfico accede únicamente al área de
    servidores y muy poco o prácticamente nulo a la red LAN.
    La razón del poco acceso o prácticamente nulo a la
    red LAN central es porque todos los archivos o
    programas
    compartidos deben estar alojados en los servidores.

    En esta fase no se audita aun el equipo
    del Gateway
    y/o Firewall
    que pueda tener una empresa, ya que estos equipos son parte
    de la infra estructura Física pero su funcionamiento y
    configuración dependen de la infra estructura
    Lógica de la red. Las únicas revisiones que se
    deben de hacer son relacionadas a que cumplan con
    estándares relacionados a cableado
    estructurado.

    Es importante recomendar que un auditor revise si el
    equipo activo existente en la organización tiene las
    facultades de administrarse de forma remota.

    Auditoría de Infra Estructura
    Lógica:

    Esta etapa de la auditoría debe de revisar
    múltiples áreas de la infra estructura, tales como
    lo son:

    1. Diseño Lógico de la Red
      LAN.
    2. Diseño Lógico de la Red WAN o
      MAN.
    3. Diseño de DNS.
    4. Tipos de servicios o
      aplicaciones que se ejecutaran en los servidores.
    5. Fin o propósito de cada servidor y su
      respectiva configuración.
    6. Cantidad de usuarios a los que se presta servicio con
      el objetivo de establecer si el performance de cada servidor es
      el adecuado para las aplicaciones y cantidad de usuarios a los
      que presta servicio.

    Diseño Lógico de la Red
    LAN
    .

    Esta parte de una red abarca varias áreas, tales
    como lo son las diferentes SUB
    NET
    que se tendrán en la red, el
    propósito de cada una de ellas, los servicios o
    aplicaciones que correrán sobre dicha red.

    En el caso de que una empresa u organización
    posea un edificio de más de 3 niveles para sus oficinas,
    es recomendable que se asigne una sub net para cada nivel del
    edificio. Importante resaltar que los rangos de
    direccionamiento IP
    a utilizar deben ser de tipo privados. En caso de que se
    utilice DHCP
    es recomendable que se tengan bien definidos los grupos a los que
    pertenece cada estación de trabajo, para que así se
    pueda llevar un control de la sub net asignada a dicho grupo.

    Para el área de servidores se debe de contemplar
    tener direccionamiento FIJO y una sub net, especifica a la cual
    apuntaran las estaciones de trabajo. Es recomendable que se haga
    un buen diseño de las sub net y se deje documentado el
    propósito de las mismas. Tomar en cuenta que los DNS y
    el Gateway
    deben pertenecer a un sub net diferente a la de cada nivel
    o ubicación y a la del sub net de servidores, esto permite
    que se tenga una mejor seguridad.

    Diseño Lógico de la Red WAN o
    MAN
    .

    Tomar en cuenta que son parte de la misma empresa u
    organización, la única diferencia es que
    están retiradas de la central. Pero tienen derecho a
    acceder a ciertas áreas de la red, específicamente
    a servidores que les brindan algún tipo de servicio o
    aplicación. Para ello es recomendable que se diseñe
    un sub net que utilice direccionamiento
    IP privado, de preferencia que sea fijo y no dinámico,
    ya que esto simplifica la
    administración remota.

    Los DNS
    generalmente son los mismos si tienen una sola salida al
    Internet, y su GateWay es variante, según la dirección IP que nos
    asigno el ISP para el enlace de punto a punto (esto varia
    según cada escenario en el que practica la
    auditoría). Aunque si hay servidores de DNS segundarios
    que brindan servicios a locaciones remotas, es posible que esto
    cambie. Es por ello que es importante que se posea documentación de cómo se estructuro
    lógicamente la red.

    Diseño de DNS.

    En la mayoría de los casos una empresa u
    organización en Latinoamérica empieza de ser una empresa
    pequeña, después pasa a ser una empresa mediana. El
    negocio o giro es bueno y los dueños crean otras empresas
    que de igual manera tienen un crecimiento, posteriormente deciden
    unificarlas.

    Esto en la mayoría de casos es muy complejo y
    difícil, ya que cada empresa tenia su propio domino, por
    ende sus propios DNS. Al unificarse el dominio, se puede
    complicar la unificación porque existen diversidad de
    aplicaciones y servicios en cada empresa, que están
    apuntando a su servidor de DNS. Al momento de integrar todas las
    empresas inicia el problema, por ello es que se recomienda que se
    tenga cuidado al realizar este tipo de consolidaciones
    organizacionales y estructurales ya que esto puede repercutir
    duramente en la red.

    Hay que hacer un análisis y re configuración de los
    DNS en estos casos y dejar bien configuradas las replicaciones o
    re direccionamientos en casos de ausencias de un servidor
    padre.

    Tipos de servicios o aplicaciones que se ejecutaran
    en los servidores.

    Es importante tener claro las aplicaciones que utiliza
    una empresa, como los son los
    ERP
    ,
    CRM
    , SCM,
    u otros, servicios como Correo Electrónico, File Server,
    etc., las cuales se ubicaran en un "X" servidor, y la cantidad de
    usuarios que accederán a dicha aplicación. Hay que
    determinar que Benchmark se necesita para cada conexión de
    usuario a la aplicación, para establecer si es correcta o
    no la configuración Física (Hardware) del servidor,
    con lo cual se puede establecer si el servidor posee suficientes
    recursos para atender las necesidades de cada requerimiento de
    conexión a la aplicación o servicio.

    Fin o propósito de cada servidor y su
    respectiva configuración.

    Inicialmente un servidor se adquirió con un fin o
    propósito especifico, y por ellos posee un Hardware capaz
    de brindar servicios para dicho fin. En mi experiencia he
    encontrado casos en que hay un servidor que esta haciendo 5 o 7
    cosas mas de las que fueron su propósito inicial, y por
    ello es que un servicio o aplicación presentan problemas de
    respuesta o lentitud, ya que los recursos del Hardware son
    menores a lo que requiere el Benchmark para el Software
    de las 5 o 7 aplicaciones corriendo
    simultáneamente.

    Es por ello que se recomienda que un auditor verifique
    el Propósito inicial con el que se adquirió un
    servidor de arquitectura, y
    en el caso de que no sea el adecuado se pueda hacer las
    recomendaciones del caso.

    Cantidad de usuarios.

    Hay que establecer la cantidad de usuarios a los que se
    presta servicio con el objetivo de establecer si el performance
    de cada servidor es el adecuado para las aplicaciones y cantidad
    de usuarios a los que presta servicio.

    Auditoría de Aplicaciones:

    Esta parte es muy compleja de revisar, ya que hay
    múltiples factores a tomar en cuenta de la
    aplicación a revisar, tales como:

    • Lenguaje de Programación.
    • Actualizaciones de la Aplicación.
    • Fabricante.
    • Trayectoria del Fabricante.
    • Soporte en sitio.
    • Tipo de base datos que utiliza.
    • Diccionario de la estructura de la base de
      datos.
    • Compatibilidad con programas generadores de reporte
      de terceros.
    • Arquitectura de la aplicación.
    • Métodos de acceso de los usuarios.
    • Establecer si un usuario del mas bajo nivel puede
      acceder a las partes mas delicadas de la aplicación, de
      forma intuitiva, ya que hay que recordar que los
      Hacker`s
      mas cercanos que tenemos son los mismos usuarios por su
      propia curiosidad humana en el mejor de los casos.
    • Revisar si la aplicación posee
      bitácoras de tipo transaccional, con las cuales se pueda
      hacer rastreos de lo ejecutado por cada usuario en su
      sesión de trabajo.

    Auditoría de Estaciones de
    Trabajo:

    Generalmente las empresas poseen un departamento de
    recursos Humanos que tiene definidos los Roles, funciones,
    atribuciones de cada uno de los empleados, por consiguiente
    informática debe tener conocimiento
    de que funciones tiene un empleado, para poder instalar el
    Software necesario para el trabajo del
    empleado. Así poder determinar que no tenga juegos o
    herramientas que distraigan su atención, o que solamente consuman recursos
    de la estación de trabajo necesarios para su trabajo
    cotidiano. Por ello es que una empresa debe tener clara estas
    definiciones. Además se debe revisar que los usuarios no
    sean Administradores de sus equipos, para que no puedan instalar
    SW (Software) a su discreción. Revisar que se posea el
    licenciamiento de los programas instados en la estación de
    trabajo. Hay que hacer las revisiones del caso con Software
    destinado a realizar inventarios de HW
    (Hardware) y SW instalados en la estación de
    trabajo.

    Auditoría de las instalaciones físicas
    del departamento de Informática:

    Esta parte es muy importante, ya que la seguridad
    Física es parte fundamental, ya que las amenazas de este
    tipo son latentes, los puntos a revisar son:

    • Métodos de acceso al cuarto de
      servidores.
    • Bitácoras de acceso al área de
      servidores.
    • Sistema de monitoreo por medio de video.
    • Bitácoras de Video.
    • Temperatura ambiente del
      área de servidores.
    • Circuito eléctrico independiente del cuarto de
      servidores.
    • Sistema de protección de descargas electro
      atmosféricas para el cuarto de servidores.
    • Ubicación, distribución de los Rack y
      propósito del rack.
    • Sistemas detectores de Humo.
    • Equipos para apagado de Fuego a base de
      CO2.
    • Circulación del aire
      acondicionado en el cuarto de servidores.
    • Canales aéreos de trasporte del cableado
      estructurado que ingresa al cuarto.
    • Rack independiente para equipos activos y pasivos de
      Voz, Datos, Video.
    • Mapas disponibles de los diferentes puntos de red y
      su uso.
    • Métodos de limpieza del área de
      servidores, frecuencia, entrenamiento
      del personal que la realiza, etc.

    Auditoría de los conocimientos del personal
    del departamento de Informática:

    Hay múltiples factores a evaluar según la
    función y puesto del personal, ya que el perfil y
    conocimientos de cada uno pueden variar según sus
    funciones y atribuciones.

    Generalmente hay 6 tipos de personal en IT:

    1. Gerente de Informática.
    2. Administrador(es) de red LAN, WAN.
    3. Administrador(es) de seguridad Perimetral e
      interna.
    4. Desarrolladores de aplicaciones.
    5. Administrador de bases de
      datos.
    6. Técnico de atención a
      usuarios.

    Según el puesto se recomienda hacer una
    batería de pruebas en
    conocimientos de las áreas que son responsables, para
    conocer las fortalezas y debilidades, con el objetivo de
    recomendar capacitación en las áreas
    débiles.

    Consultoría en Normas,
    Estándares y Seguridad Informática.

    1. Esto se logra mediante una AUDITORÍA sorpresa
      para que se conozcan las condiciones cotidianas de trabajo de
      la empresa u organización.

    2. Revisión Estatus actual del área IT de
      la Organización:

      Se logra al concluir las reuniones con la alta
      dirección de la empresa, y acorde a la misión y
      visión de la empresa u
      organización.

    3. Definición de Alcances de las necesidades de
      la Organización:

      Resultado de la auditoría, así como de
      las posibles quejas indicadas por el personal de IT, pero
      generalmente son resultado de la auditoría como
      tal.

    4. Problemas y Riesgos
      Encontrados en área IT:
    5. Recomendaciones para lograr con cumplir con los
      requisitos de la organización:

    Cada auditoría es un caso diferente y
    único, por lo cual se deben de tratar como
    independientes, lo que se toma como base son los
    estándares de la industria informática en este
    tema. Importante que se tengan como mínimo los equipos
    adecuados para una red de este tipo.

    • Infra Estructura de Comunicaciones Red
      WAN.

    Cada auditoría es un caso diferente y
    único, por lo cual se deben de tratar como
    independientes, lo que se toma como base son los
    estándares de la industria informática en este
    tema. Importante que se tengan como mínimo los equipos
    adecuados para una red de este tipo. Para los enlaces de datos
    es recomendable que se tenga previsto una tolerancia a
    fallos por medio del ISP que esta brindando el servicio de
    datos, es bueno tener redundancia.

    Una empresa debe poseer como mínimo 2 enlaces
    de Internet y un número igual de direcciones IP Publicas
    para que con esto tenga la factibilidad de
    redundancia en casos de falla. Los anchos de Banda
    dependerán del uso que se le de al Internet, así
    como la cantidad de usuarios que tienen acceso al
    servicio.

    • Inventario de Hardware y Software
      Organización.

    El objetivo de esta actividad es poder tener claro que
    tipos de equipos se están utilizando en la empresa u
    organización, los modelos, y tipos, además de
    saber que Software posee sus respectivas licencias por cada
    equipo que lo tiene instalada.

    Esto permite que el departamento de IT pueda llegar a
    tener un estándar de equipos, con semejantes
    configuraciones, y así al momento de tener que realizar
    algún tipo de reparación, poder saber que tipo de
    piezas son las que necesita, o si tiene en stock para una
    sustitución mucho mas rápida.

    Es muy conveniente que una empresa u
    organización seria tenga todo el software que existe
    dentro de sus equipos de cómputo, debidamente
    licenciado, ya que esto les brinda un respaldo de tipo
    legal.

    El tener un inventario de
    HW y SW permite que el personal de IT sean consientes de que
    poseen y que pueden utilizar dentro de sus recursos.

    • Definición de Políticas de Administración de Dominio.

    Estas políticas son definidas en base a una
    serie de temas a considerar, tales como:

    • Misión, Visión de la
      empresa.
    • Grupos de trabajo.
    • Funciones y atribuciones de los grupos de
      trabajo.
    • Definición de puestos y sus
      funciones.
    • Establecer a que servicios o aplicaciones tiene
      derecho el usuario o grupo de trabajo.
    • Horarios de trabajo.
    • Políticas de seguridad física y
      lógicas de la empresa u
      organización.
    • Definición de Políticas de uso
      Recursos de la organización.

    De igual forma estas políticas son definidas en
    base a una serie de puntos a considerar, pero realmente son
    más puntuales, tales como:

    • Derechos de uso de impresoras
      de red.
    • Cantidad de impresiones por usuario.
    • Horarios de usos de los recursos.
    • Correo electrónico
    • Internet.
    • Carpetas compartidas.
    • Aplicaciones o herramientas de trabajo.
    • Etc., son muy diversos los escenarios de cada
      empresa u organización.
    • Definición de Políticas de
      Almacenaje de Información.

    Este es un tema delicado desde cualquier punto de
    vista, ya que dependen varios factores del mismo, tales
    información generada por cada usuario,
    información generada por las aplicaciones en sus
    respectivas bases de datos, información de correos
    electrónicos de la organización, etc.

    Lo importante de resaltar en este tema es que el
    almacenaje de información de usuarios debe ser
    centralizado, con el objetivo de que sea fácil la
    generación de copias de seguridad, y de forma
    rápida. Esto minimiza el problema clásico de que
    en las estaciones de trabajo se guardan los documentos de cada
    usuario y que al tener problemas con su equipo o
    estación de trabajo, pierden el acceso temporal o
    definitivo a sus archivos.

    Por ello es conveniente que se creen los denominados
    FILE SERVER que tiene como propósito el almacenaje de
    esta información de tipo labora.

    Para aquellos archivos de tipo personal es conveniente
    crear una política en la cual puedan guardar archivos en
    su disco duro,
    y que la capacidad de almacenaje no sea mayor a 700
    MB.

    Con relación a las herramientas o aplicaciones
    de la empresa u organización, es recomendable que las
    bases de datos sean monitoreadas diariamente, además de
    crear las copias de respaldo del caso.

    • Definición de Políticas de Back
      Up.

    El respaldo de la información de la empresa es
    Vital y por ellos se debe tomar como una actividad diaria y de
    prioridad alta.

    Para ello se deben definir políticas de Back Up
    que permitan tener copias de seguridad incrementales y totales
    de la información tanto del FILE SERVER con del DB
    SERVER, MAIL SERVER, etc., para que al momento de una problema
    de tipo físico o lógico se pueda restaurar la
    información en un tiempo prudente.

    Mi recomendación personal es utilizar
    herramientas de back up de Veritas, ya que son de muy buen
    prestigio, además de fácil manejo.

    Las políticas se deben de fijar en
    función de nivel crítico de los datos, y del
    volumen. La frecuencia de cada BACK
    UP
    como mínimo debe ser diaria, semanal
    y como máxima mensual.

    Adicionalmente cada TAPE, DVD,
    CD de
    información debe ser almacenado en un lugar seguro y
    debidamente etiquetado, con el objetivo de poder ser ubicados
    correctamente.

    Esta actividad debe ser presupuestada por el gerente de
    área, ya que es un rubro importante.

    • Definición de Políticas de Servicios
      como Correo Electrónico e Internet.

    Este tema es básicamente simple, pero
    detallista, se deben de tomar en cuanta los siguientes
    puntos:

    1. Fijar la política de que usuarios deben
    poseer correo electrónico, y el tipo de permisos del
    correo electrónico, tales como correo externo, correo
    entrante, saliente, tipo de archivos a recibir, tipo de
    archivos a enviar.

    2. Limitar el uso de herramientas de mensajera
    instantánea.

    3. Limitar el uso de Internet a usuarios que no deben
    utilizarlo.

    4. Limitar a páginas específicas en los
    casos de que un usuario lo deba de tener que
    utilizar.

    5. Fijar horarios de uso del Internet para dichos
    usuarios.

    6. Adquirir software para monitorio y
    administración del uso de Internet, este software debe
    ser capaz de ligarse estrechamente a las políticas del
    directorio maestro (Active Directory).

    • Definición de Políticas de Mantenimiento
      Preventivo – Correctivo de equipo de
      cómputo.

    En la mayoría de empresas u organizaciones
    utilizan al personal de IT para hacer tareas de este tipo, pero
    hay que reconocer que esto es un mal uso del personal
    informático. Por ello se recomienda que sub contraten
    servicios externos para este tipo de actividades, tales
    como:

    1. Contratación de una empresa que brinde el
    servicio de mantenimiento preventivo de las estaciones de
    trabajo. Este tipo de mantenimiento se recomienda que se haga
    de forma Trimestral. Se deberá de incluir las
    Computadoras e impresoras de la organización. Esta
    empresa debe de tener personal calificado y de preferencia
    certificado en mantenimiento de estaciones de trabajo e
    impresoras.

    2. Contratación de una empresa capaz de brindar
    mantenimiento a los servidores de la empresa, esta empresa
    deberá de tener personal certificado por el fabricante,
    para dicha actividad. El ciclo de mantenimiento es semestral
    para este equipo.

    3. Contratación de un servicio de mantenimiento
    de preventivo para equipo activo, por una empresa con personal
    certificado en este equipo.

    • Control de Acceso área de
      Servidores.

    Generalmente este tema se descuida, por ello es
    importante tomar en cuanta lo siguiente:

    1. Implementar herramientas electrónicas de
    control de accesos, para que solamente el personal autorizado
    pueda ingresar al área.

    2. Implementación de sistema de monitoreo de la
    temperatura
    del cuarto de servidores.

    3. Implementación de cámaras de video
    para vigilar el acceso al área de servidores.

    4. Implementación de detectores de
    Humo.

    5. Implementación de extinguidor de fuego, a
    base de Co2.

    • Administración IT.

    Este es un tema muy complejo y delicado, ya que las
    recomendaciones se basan en las evaluaciones que ha realizado
    el auditor, tanto de conocimientos como de procedimientos y
    hábitos del departamento de informática. Es
    importante resaltar que debe ser una crítica constructiva, con el afán
    de estandarizar procedimientos, conocimientos y funciones y
    atribuciones de cada uno de los miembros.

    • Definición de funcionamiento de
      aplicaciones administrativo contables (ERP) y/o de
      Administración de clientes
      (CRM) u
      otras.

    Estas aplicaciones deben cumplir con los
    estándares de la industria informática, deben ser
    robustas, centralizadas, arquitectura cliente servidor, segura
    y confiable, Base de datos segura y confiable, de fabricantes
    de renombre, con una base instalada amplia (lo cual permite
    obtener soporte local), que permita flexibilidad y seguridad
    transaccional, que sea altamente parametrizable a las
    necesidades de la empresa, debe ser un sistema transaccional
    que refleja en tiempo real las transacciones que se
    están realizando dentro del sistema, debe tener
    capacidad multi empresa, multi sucursal, multi bodega,
    multimoneda, un sistema capaz de no requerir cierres mensuales,
    capaz de aceptar funcionalidades adicionales según las
    características de la empresa, que sea capaz de
    interactuar con otras aplicaciones de la empresa, debe de
    manejar controles de acceso mediante la definición de
    perfiles de cada usuario o grupo de usuarios, dándoles
    un nivel de acceso limitado a las diferentes áreas de la
    aplicación, capaz de manejar prioridades en el perfil de
    cada usuario, mapas de
    acceso, y procesos para el usuario especifico. Capacidad de
    manejar la administración de la empresa de forma
    fácil y amigable para los usuarios. Debe ser intuitiva.
    La gestión de las empresas de hoy en
    día se establece en 4 grandes áreas de la
    empresa:

    • ADMINISTRACIÓN: Donde se procesan diariamente
      las operaciones de
      Inventarios, Compras,
      Cuentas por
      Cobrar, Cuentas por
      Pagar, Caja y Bancos,
      Facturación o Ventas de la
      empresa.
    • CONTABILIDAD: Donde se procesa de forma mensual las
      transacciones de las áreas administrativas antes
      mencionadas.
    • NOMINA: Proceso de administración del capital humano
      y su remuneración, debe ser un sistema altamente
      configurable a las necesidades de la empresa.
    • Administración de clientes (CRM) u
      otras.
    • Se recomienda contemplar la adquisición de una
      CRM por el tamaño de la organización.
    • Se recomienda adquirir una herramienta de Help Desk
      para monitoreo del desempeño del departamento de
      Informática.
    • Cantidad de Direcciones IP
      Públicas.

    Es importante tener un inventario de las direcciones
    publicas que posee la empresa, así como el uso o
    propósito de cada una, ya que de no existir un control
    de esto, estas direcciones se convierten en una vulnerabilidad
    fuerte para la empresa u organización.

    • Uso de servicios de accesos remotos (Web
      Server)

    Este servidor generalmente esta ubicado en una
    DMZ,
    y permite que usuarios remotos o externos, tengan acceso a
    servicios o reportes que necesiten consultar.

    Es importante que este tipo de servidores cuenten con
    un muy alto nivel de seguridad y que exista un muy cercano
    control de los accesos al mismo.

    Muchas empresas u organizaciones utilizan herramientas
    de acceso remoto para poder ingresar a estos portales, con lo
    cual optimizar sus recursos tanto de performance de ancho de
    banda como uso de servidor.

    Partes: 1, 2

    Página siguiente 

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter